Wiki Les geekeries de rungis

Paramétrer simplement l'envoi de mail sur un serveur

Sun, 12 Nov 2023 19:27:32 +0100

Dans cet article, nous allons décrire comment paramétrer l'envoi de mail à a partir d'un serveur. Cela peut s'avérer très utile pour qu'un serveur envoi des mails lors de la réalisation d'une tache, ou pour intégrer l''envoi d'un mail dans un script.

Installation des paquets nécessaires

Je donne les commandes ici pour Debian et dérivés mais ces paquets existent sur d'autres distributions.

On installe les paquets msmtp, msmtp-mta ainsi que bsd-mailx.

Code BASH :

sudo apt install msmtp msmtp-mta bsd-mailx

Ce dernier paquet est utile seulement si vous souhaitez utiliser la commande mail pour l'envoi des messages. Sans ce paquet, seule la commande msmtp fonctionne. Pour un script, ce n'est pas grave mais certains logiciels envoient des mails seulement par la commande mail. C'est le cas par exemple de unattended-upgrades

Vérifier ensuite que le système utilise bien msmtp pour l'envoi de mails :

Code BASH :

 
ls -la /usr/sbin/sendmail

Doit retourner :

Code BASH :

 
/usr/sbin/sendmail -> ../bin/msmtp

Configuration

Pour fonctionner, le service s'appui sur le fichier de configuration suivant, à éditer :

Code BASH :

vim /etc/msmtprc

Ce fichier fonctionne pour envoyer des mail à partir du compte root. Pour envoyer un mail à partir d'un autre utilisateur, créer un fichier .msmtprc dans le dossier utilisateur

On peut y insérer les options par défaut pour tous les comptes que l'on paramètre :

Code TEXT :

 
# Valeurs par defaut pour tous les comptes.
defaults
auth           on
tls            on
tls_starttls   off
tls_trust_file /etc/ssl/certs/ca-certificates.crt
logfile        /var/log/msmtp.log

Attention à la configuration en fonction de votre fournisseur de mail. Par exemple, Infomaniak ne supporte pas le STARTTLS il faut utiliser le port 465, activer tls mais désactiver STARTTLS

L'utilisateur qui enverra le mail doit avoir accès au fichier de log. On peut donc soit créer un fichier de log dans le dossier de l'utilisateur soit lui donner les droits sur ce fichier de log.

On créé ensuite une partie pour chaque compte que l'on souhaite paramétrer :

Code TEXT :

 
account            [nom du compte]
host               [serveur smtp]
port               [port smtp]
from               [adresse mail] ou [Nom expéditeur]
user               [utilisateur du compte mail utilisé]
password           [mot de passe du compte mail]

Par exemple, pour un compte gmail

Code TEXT :

 
account            Gmail rungis
host               smtp.gmail.com
port               587
from               Rungis
user               votreadressemail@gmail.com
password           MonMotDePasseGmail

Ajouter une ligne à la fin du fichier pour spécifier le nom du compte par défaut à utiliser

Code BASH :

 
account default : Gmail rungis

Vu que le fichier contient le mot de passe du compte mail, pensez à réduire les droits sur ce fichier avec les commandes suivantes :

Code BASH :

 
sudo chown root:root /etc/msmtprc
sudo chmod 600 /etc/msmtprc

Test

Vous pouvez ensuite tester l'envoi d'un mail par la commande suivante :

Code BASH :

echo "Corps du mail" | mail -s "Sujet du mail" -- destinataire@gmail.com

Installation de mutt

msmtp fonctionne seul mais mutt offre plus de fonctionnalités, notamment l'envoi de pièces jointes.

On installe mutt :

Code BASH :

 
apt update
apt install mutt

Puis on créé le fichier .muttrc dans le dossier home de l'utilisateur :

Code BASH :

 
vim ~/.muttrc

Et on y ajoute les lignes suivantes :

Code BASH :

 
set sendmail="/bin/msmtp"
set use_from=no

Pas besoin de plus d'options, le reste est déjà défini dans le fichier de configuration de msmtp

Test avec mutt

On peut tout d'abord créer une petite pièce jointe de test

Code BASH :

 
echo "coucou" >> fichiertest.txt

Puis on envoi ce fichier à l'adresse souhaitée :

Code BASH :

 
echo "texte dans le mail" | mutt -s "Sujet du mail" -a fichiertest.txt -- adresse@mail.from

Créer un serveur de fichiers avec samba

Sat, 14 Oct 2023 16:59:57 +0200

Un nouvel article un peu long pour tracer ma façon que j'ai utilisée pour créer un serveur de fichier à l'aide de samba.
Pendant un long moment, j'ai utilisé openmediavault qui est une distribution basée sur debian et conçue pour faire son NAS DIY. Bien entendu, ce serveur est hébergé sur proxmox.

Au bout d'un certain temps, j'en ai eu marre des ressources qu'il consommait, de devoir aller sur l'interface pour valider des mises à jour et parce que cela m'intéressait d'apprendre à paramétrer un serveur de fichier moi-même.

Pour cela, j'ai utilisé une bonne vieille debian !

Installation des paquets nécessaires

Pour mes besoins, voici la liste des paquets que j'ai installés :

samba (pour le serveur de fichier)
mergerfs (pour regrouper des disques durs ensemble et ne faire qu'un système de fichier visible)

Paramétrages initiaux

Quelques paramétrages initiaux à faire...

Attribuer une IP fixe

Pour cela, sur debian, on modifie le fichier /etc/network/interfaces et on remplace :

Code BASH :

 
iface enp3s0 inet dhcp

par

Code BASH :

 
iface enp3s0 inet static
    address 192.168.1.15
    netmask 255.255.255.0
    gateway 192.168.1.254

Modifier le serveur dns

Pour cela, on modifie le fichier /etc/resolv.conf et on ajoute les lignes voulues :

Code BASH :

 
search vds.lan
nameserver 192.168.1.21
nameserver 1.1.1.1

Passthrough des disques durs

Passthrough signifie qu'un périphérique branché sur l'hôte d'un virtualiseur (dans mon cas, l'ordinateur sur lequel est installé proxmox) va être transmis tel quel à une VM. Cela signifie que le périphérique ne pourra pas être utilisé par proxmox ou par une autre VM.

Dans mon cas, j'ai 3 disques durs que je vais transmettre directement à ma debian. C'est sur ces disques que se trouvent tous mes fichiers qui seront disponibles via samba.

Récupérer les identifiants des disques

Tout d'abord on récupère les UUID de nos disques avec la commande suivante :

Code BASH :

 
lsblk -o +MODEL,SERIAL,WWN,UUID

Cette commande vous permet également de repérer les disques par leur numéro de série si besoin.

Passthrough sur proxmox

Pour attacher le disque souhaité à la VM :

Code BASH :

 
qm set 109 -scsi2 /dev/disk/by-uuid/eae45129-e294-4d27-8f52-3a562764ed33

109 est le numéro de la VM
eae45129-e294-4d27-8f52-3a562764ed33 est l'UUID du disque souhaité

L'utilitaire screen

Thu, 12 Oct 2023 09:21:28 +0200

Petit mémo sur l'utilisation de l'outil screen sur linux, petit utilitaire que j'adore pour deux fonctionnalités principales que nous allons voir rapidement :

Avoir un terminal qui tourne en fond sur lequel on peut revenir quand on veut et même à partir d'un autre client (très pratique en ssh)
Diviser son terminal en deux ou plusieurs parties

Les commandes de base

Ici on va voir quelques commandes de base pour lancer screen. Ce qui est top avec screen, c'est que lorsque vous le lancez, vous pouvez ensuite à l'intérieur de ce screen lancer une commande ou un script et sortir de ce screen pendant que la commande ou le script s'exécute. C'est super pratique pour un script ou une commande qui va durer longtemps. Gros avantage (notamment en ssh), si vous perdez la connexion, pas de problème ! Vous vous reconnectez, vous réattachez le screen et vous vous retrouvez sur votre écran comme si de rien n'était.
De même, vous pouvez vous connecter en ssh sur un serveur, lancer un screen, lancer une commande longue ou un script à l'intérieur puis vous détachez du screen et vous déconnecter du serveur. Vous pourrez vous reconnecter en ssh plus tard (même à partir d'un autre client) et rouvrir le screen pour voir où en est la commande ou le script.

Code BASH :

 
# Démarrer un screen (test est le nom qu'on donne au screen, on met ce qu'on veut)
screen -S test
# Sortir du screen en le supprimant
exit
# Se détacher du screen
Ctrl+A puis D
# Se réattacher au screen
screen -r test
# Se réattacher au screen alors que celui-ci est déjà "Attached" (après une perte de connexion par exemple)
screen -R test
# Lister les screen
screen -ls

Gestion des splits

Autre fonctionnalité intéressante, vous pouvez diviser votre terminal en régions. C'est bien pratique lorsque vous êtes connecté en ssh sur un serveur, cela vous évite d'ouvrir un autre terminal et de vous connecter une seconde fois.

Code BASH :

 
# Diviser l'écran horizontalement
Ctrl+A puis S
 
# Diviser l'écran verticalement
Ctrl + A puis |
 
# Passer d'une région à l'autre
Ctrl + A puis Tab
 
# Démarrer le shell dans la nouvelle région
Ctrl + A puis c
 
# Fermer une région
Ctrl + A puis X
 
# Ne conserver que la région active
Ctrl + A puis Q
 
# Sauvegarder la disposition des régions
Ctrl + A puis :
layout save default

Créer un serveur DNS local

Thu, 16 Mar 2023 10:46:37 +0100

Dans cet article, je vais vous expliquer l'intérêt et la méthode pour se faire un serveur DNS local.

C'est quoi un serveur DNS ?

Pour rappel, un serveur DNS (Domain Name Server) permet de faire correspondre des adresses avec des IP. Par exemple, lorsque vous tapez l'adresse https://google.fr dans votre navigateur, c'est un serveur DNS qui dit à votre navigateur d'aller sur 142.250.178.131. Essayez de taper directement cette IP dans votre navigateur vous verrez, vous arriverez sur google.fr.

A quoi sert un serveur dns local

Si je reprend mon exemple plus haut, le serveur DNS qui vous donne l'IP de google.fr est un serveur basé ailleurs qui peut être clouflare, google ou bien d'autres, il existe pas mal de serveurs DNS. Le choix du serveur peut se faire sur votre box mais il y a un paramétrage par défaut et on n'a pas forcément besoin d'y toucher.

Mais ces fournisseurs de DNS ne savent pas que sur votre réseau local, votre jeedom est sur l'IP 192.168.21.25 ou que votre serveur plex est sur 192.168.21.32. C'est là qu'intervient le serveur DNS local. Vous allez pouvoir ajouter dans ce dernier la résolution des nom d'hôtes locaux.
Au lieu de taper 192.168.21.25 dans votre navigateur pour atteindre votre jeedom, vous pourrez taper jeedom.domainelocal.lan par exemple.

Installation et configuration du serveur DNS

Installation

Je vous donne l'exmple sur une base Debian mais les autres distribution proposent le même paquet dnsmasq

Code BASH :

apt install dnsmasq

Configuration

Pour la configuration, il y a plusieurs fichiers à éditer :
- dnsmasq.conf
- dnsmasq-dns.conf
- dnsmasq-hosts.conf

Tous ces fichiers se trouvent dans /etc/.

dnsmasq.conf

Ici, c'est la configuration générale.
La seule ligne à modifier est la ligne qui commence par domain, c'est ici que vous mettez votre domaine local, par exmple :

Code BASH :

domain=domainelocal.lan

dnsmasq-dns.conf

Dans ce fichier, vous allez mettre le ou les serveurs DNS externe sur lesquels vous souhaitez aller.
Personnellement, j'ai choisi les serveurs DNS de CloudFlare, pour cela il suffit de supprimer les lignes existantes et d'ajouter celles-ci :

Code BASH :

 
nameserver 1.1.1.1
nameserver 1.0.0.1

dnsmasq-hosts.conf

C'est ici le fichier pour lequel nous avons installer un serveur DNS local, on va pouvoir y ajouter les machines locales avec leurs IP et le nom qu'on souhaite leur donner, par exemple, vous pouvez y ajouter les lignes suivantes à adapter :

Code BASH :

 
192.168.21.25     jeedom
192.168.21.32     plex

Ensuite, on relance le serveur DNS pour que nos paramètres soient pris en compte :

Code BASH :

systemctl restart dnsmasq.service

On teste ?

Et là, on teste dans notre navigateur favori en tapant jeedom.domainelocal.lan et cela ne fonctionne pas !
Et bien oui c'est normal...

Petit rappel, lorsque vous connectez votre ordinateur ou n'importe quel périphérique au réseau on a deux possibilités :

Entrer manuelle l'adresse IP ainsi que la passerelle et le serveur DNS
Laissez le serveur DHCP s'en occuper

Cela signifie donc que soit vous devez modifier le serveur DNS dans la configuration de votre client si vous spécifiez manuellement les informations réseau, soit configurer votre serveur DHCP pour que ce dernier envoi la bonne information.

Je vous renvoi donc vers mon article sur la mise en place d'un serveur DHCP pour faire cela (Installer et paramétrer un serveur DHCP). Si vous n'avez pas de serveur DHCP monté vous même, rendez dans l'interface de gestion de votre box, vous trouverez un menu permettant de modifier le serveur DNS utilisé, par exemple sur une freebox, dans paramètres puis DHCP :

Vous pouvez modifier l'adresse dans serveur DNS 1 et mettre l'adresse IP de votre nouveau serveur DNS. Lorsqu'une machine demandera une adresse IP au serveur DHCP de votre box, cette dernière renverra l'adresse IP mais aussi le serveur DNS à utiliser.

Une dernière chose, n'hésitez pas à aller consulter mon article sur quelques commandes réseau, vous y retrouverez notamment comment vérifier l'adresse du serveur DNS utilisé par un client, cela vous permettra de vérifier que c'est bien votre serveur DNS local qui répond aux requêtes : Quelques commandes réseau

Supprimer automatiquement des anciens fichiers

Wed, 15 Mar 2023 15:51:34 +0100

Aujourd'hui, un petit tuto rapide pour nettoyer automatiquement des fichiers anciens.

Le contexte de ce tuto est le suivant : j'ai chez moi des caméras de surveillance qui n'enregistraient que lors de déclenchements d'alarmes. Je me suis dit qu'il serait préférable d'enregistrer les vidéos en continu. Bien entendu, cela pose rapidement un problème de place sur mes disques durs puisque mes caméra produisent environ 400 Go de vidéo par semaine...

La méthode est assez simple :

Première étape : créer un script pour supprimer ces anciennes vidéos, je suis parti sur une période de 10 jours (les vidéos de plus de 10 jours seront supprimées par le script). Pour cela on crée un script bash avec son éditeur préféré sur le PC ou le serveur où sont stockées les fichiers en question, voici le code dans le mien :

Code BASH :

 
#! /bin/bash
DUREE_RETENTION_EN_JOURS=10
CHEMIN_DOSSIER_VIDEOS="/chemin_vers_le_dossier_des_videos/"
INAME_CONDITION="*.mkv"
find "$CHEMIN_DOSSIER_VIDEOS" -iname $INAME_CONDITION -ctime +$DUREE_RETENTION_EN_JOURS -delete

Ce script va donc supprimer tous les fichiers .mkv dans le dossier choisi (et ses sous-dossiers) qui ont été modifiés il y a plus de 10 jours.

On n'oublie pas de rendre le script exécutable

Code BASH :

 
chmod +x /chemin/mon_script.sh

On ajoute l'exécution du script dans le planificateur en ouvrant crontab

Code BASH :

 
crontab -e

On ajoute ensuite la ligne qui va bien :

Code BASH :

0 5 * * * /bin/bash/ "/chemin/mon_script.sh"

Mon script s'exécutera donc tous les matins à 5 heures.

Migration de debian 10 vers debian 11 sur un raspberry

Fri, 03 Mar 2023 18:22:38 +0100

Salut à tous, un petit article rapide pour décrire la méthode de migration de debian 10 (buster) vers debian 11 (bullseye) sur un raspberry et surtout comment résoudre le problème de DHCP.

Attention, vous devrez avoir un accès à votre raspberry avec écran et clavier après la mise à jour pour résoudre le problème de DHCP. Après la mise à jour, le raspberry n'a plus accès au réseau

Sauvegarde

Avant toute chose, je vous conseille de faire une sauvegarde de votre système. Il existe plusieurs, méthode, la plus simple me semble être la suivante :

retirer la carte SD (ou le disque dur SSD branché en USB) sur lequel le système est installé puis branchez le à un système linux
cherchez l'identifiant du disque avec la commande :
Code BASH :
```
lsblk
```
Dans mon cas, c'est /dev/sdc

Exécutez la commande suivante pour créer une image du disque :

Code BASH :

dd if=/dev/sdc of=/home/remi/image_carte_sd.img

Cela va créer une image de votre carte SD (ou de votre disque dur) que vous pourrez restaurer en cas de besoin.

Migration de debian 10 vers debian 11

Pour la migration, c'est assez simple, c'est comme une debian classique.

Ouvrez le fichier de configuration des dépôts :

Code BASH :

vim /etc/apt/sources.list

remplacez "buster" par "bullseye" sur toutes les lignes de dépôt.

Il faut également le faire dans tous les fichiers qui se trouvent dans /etc/apt/sources.list.d.

Ensuite, il suffit de faire la mise à jour classique :

Code BASH :

 
sudo apt update
sudo apt upgrade

Cela prend un peu de temps et c'est interactif, il y aura quelques questions auxquelles répondre.

Résolution du problème de DHCP

Lorsque vous redémarrerez le système, vous aurez une erreur :

[FAILED] Failed to start DHCP Client Daemon.

Pour le résoudre, il faut se loguer puis taper la commande suivante :

Code BASH :

sudo raspi-config

Vous allez ensuite dans :

6 Advanced Options
AA Network Config
1 dhcpd

Vous pouvez redémarrer le rasberry, il devrait normalement se reconnecter au réseau normalement.

Sauvegarde distante sur un disque dur externe chiffré

Thu, 02 Mar 2023 18:08:28 +0100

Aujourd'hui, un petit article sur la mise en place d'une sauvegarde "distante" de ses fichiers sur un disque dur externe chiffré branché sur un raspberry.
Je vais vous décrire cela sur un disque dur que j'ai à la maison, mais je l'ai autrefois fait sur un disque dur installé chez quelqu'un, cela fonctionne aussi. Il est juste nécessaire dans ce cas que la personne chez qui vous déposez le raspberry ait une ip fixe ou un nom de domaine et de rediriger les ports qui vont bien vers le raspberry.

Comme souvent, la majorité des commandes sont à faire en root ou avec sudo.

Etape 1 : accès SSH sans mot de passe

Je ne vais pas vous redécrire l'opération, vous trouverez cela facilement sur internet, j'ai également un article en cours de rédaction sur le sujet.
C'est important pour automatiser la sauvegarde.

Etape 2 : La création du volume chiffré sur son disque dur externe

Rendez-vous sur le raspberry où est branché votre disque dur externe, ou bien vous pouvez brancher le disque dur sur votre ordinateur.
Il sera nécessaire de supprimer les données du disque ou au moins de la partition que l'on veut chiffrer.

Il est d'abord nécessaire d'installer cryptsetup si ce n'est pas le cas, exemple sur une debian :

Code BASH :

apt install cryptsetup

On cherche notre disque dur :

Code BASH :

lsblk

On créé la partition qui sera chiffrée ensuite sur le disque trouvé (attention à ne pas se tromper de disque) :

Code BASH :

cfdisk /dev/sda

Vous arriverez sur l'interface de cfdisk qui vous permettra de supprimer la ou les partitions que vous souhaitez puis d'en créer une nouvelle à chiffrer.
On ne formate pas la partition nouvellement créée.

On chiffre la nouvelle partition :

Code BASH :

cryptsetup --verify-passphrase luksFormat /dev/sda1

Cherchez dans le manuel de cryptsetup mais on peut spécifier des paramètres :

Code BASH :

cryptsetup --verify-passphrase --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sda1

On vous demandera confirmation pour effacer les données et d'entrer votre nouvelle passphrase (deux fois).

On ouvre ensuite le conteneur en lui donnant un nom (ici, je l'appelle cryptWD, on pourra le changer à chaque fois qu'on l'ouvrira) :

Code BASH :

cryptsetup luksOpen /dev/sda1 cryptWD

La partition sera alors accessible via /dev/mapper/cryptWD

Il suffit ensuite de formater la partition :

Code BASH :

mkfs.ext4 /dev/mapper/cryptWD

Enfin, on monte la partition :

Code BASH :

mount /dev/mapper/cryptWD /mnt

Etape 3 : Automatisation de l'ouverture du conteneur

Nous avons créé notre conteneur et vu comment l'ouvrir puis le monter.
Pour automatiser l'ouverture et le montage, rendez-vous sur cet article qui décrit toute la démarche.

Etape 4 : La sauvegarde

Tout est en place maintenant pour faire la sauvegarde :

notre disque dur contient une partition chiffrée qui s'ouvre et se monte automatiquement au démarrage du système
nous avons accès à notre système distant sans mot de passe

Nous allons maintenant passer au script de sauvegarde.
Je vous mets en exemple, le script bash que j'utilise. Il est à adapter :

SOURCE >> les fichiers à sauvegarder
LOGFILE >> où vous sauvegarder les logs de la sauvegarde
SERVDEST >> ip de mon raspberry où est branché le disque dur chiffré

J'ai crée une fonction pour chaque dossier, cela me permet de bien séparer les choses et d'en ajouter ou supprimer facilement.

Mon fichier exclusions_rsync.txt contient les lignes suivantes :

Code BASH :

 
.recycle
@Recycle
.Trash

Code BASH :

 
#! /bin/bash
#Variables
PORT=22
EXCLUDEFILE="/srv/mergerfs/DATA/Informatique/Backups/Rsync_RPI/exclusions_rsync.txt"
DATEFICHIER=$(date +%Y.%m.%d_%H.%M.%S)
LOGFILE="/srv/mergerfs/DATA/Informatique/Backups/Rsync_RPI/logs/rsync_$DATEFICHIER.log"
SOURCE="/srv/mergerfs/DATA/"
USER="user"
SERVDEST="192.168.1.51"
PATHDEST="/mnt/cryptWD/"
OPTIONS="-ah --ignore-existing --info=MISC2,PROGRESS2,STATS2 --exclude-from=$EXCLUDEFILE --log-file=$LOGFILE --log-file-format="
DATEDEBUT=$(date +%Y.%m.%d_%H.%M.%S)
DebutFichier(){
    echo "Début de la sauvegarde - $DATEDEBUT" >> $LOGFILE
    echo "" >> $LOGFILE
}
SauvegardeHomes(){
    echo "Sauvegarde du dossier Homes" >> $LOGFILE
    rsync -e "ssh -p $PORT" $OPTIONS $SOURCE"Homes/" $USER@$SERVDEST:$PATHDEST"Homes/"
    echo "" >> $LOGFILE
}
SauvegardeInformatique(){
    echo "Sauvegarde du dossier Informatique" >> $LOGFILE
    rsync -e "ssh -p $PORT" $OPTIONS $SOURCE"Informatique/" $USER@$SERVDEST:$PATHDEST"Informatique/"
    echo "" >> $LOGFILE
}
SauvegardeLivres(){
    echo "Sauvegarde du dossier Livres" >> $LOGFILE
    rsync -e "ssh -p $PORT" $OPTIONS $SOURCE"Livres/" $USER@$SERVDEST:$PATHDEST"Livres/"
    echo "" >> $LOGFILE
}
SauvegardeMusique(){
    echo "Sauvegarde du dossier Musique" >> $LOGFILE
    rsync -e "ssh -p $PORT" $OPTIONS $SOURCE"Musique/" $USER@$SERVDEST:$PATHDEST"Musique/"
    echo "" >> $LOGFILE
}
SauvegardePhotos(){
    echo "Sauvegarde du dossier Photos" >> $LOGFILE
    rsync -e "ssh -p $PORT" $OPTIONS $SOURCE"Photos/" $USER@$SERVDEST:$PATHDEST"Photos/"
    echo "" >> $LOGFILE
}
SauvegardePublic(){
    echo "Sauvegarde du dossier Public" >> $LOGFILE
    rsync -e "ssh -p $PORT" $OPTIONS $SOURCE"Public/" $USER@$SERVDEST:$PATHDEST"Public/"
    echo "" >> $LOGFILE
}
SauvegardeTelechargements(){
    echo "Sauvegarde du dossier Telechargements" >> $LOGFILE
    rsync -e "ssh -p $PORT" $OPTIONS $SOURCE"Telechargements/" $USER@$SERVDEST:$PATHDEST"Telechargements/"
    echo "" >> $LOGFILE
}
SauvegardeVideos(){
    echo "Sauvegarde du dossier Videos" >> $LOGFILE
    rsync -e "ssh -p $PORT" $OPTIONS $SOURCE"Videos/" $USER@$SERVDEST:$PATHDEST"Videos/"
}
FinFichier(){
    DATEFIN=$(date +%Y.%m.%d_%H.%M.%S)
    echo "Fin de la sauvegarde - $DATEFIN" >> $LOGFILE
}
EnvoiMail(){
    echo "La sauvegarde s'est terminée" | mutt -s "Sauvegarde réussie" -a $LOGFILE -- adressemail@fournisseur.fr
}
main(){
    DebutFichier
    SauvegardeHomes
    SauvegardeInformatique
    SauvegardeLivres
    SauvegardeMusique
    SauvegardePhotos
    SauvegardePublic
    SauvegardeTelechargements
    SauvegardeVideos
    FinFichier
    EnvoiMail
}
main

Il vous suffit ensuite de tester le script avant de passer à l'étape suivante.

Planification de la sauvegarde

Enfin, on planifie la sauvegarde avec un petit crontab -e et on ajoute la ligne qui va bien, pour mon exemple :

Code BASH :

30 3 * * 7 bash /srv/mergerfs/DATA/Informatique/Backups/Rsync_RPI/sauvegarde.sh

Me permet de faire ma sauvegarde toutes les semaines le lundi matin à 3h30.

Montage d'un volume crypté au démarrage du système

Thu, 02 Mar 2023 17:42:33 +0100

Dans cet article, nous allons voir comment monter manuellement puis automatiquement un système de fichier crypté avec luks.
Toutes les commandes se font en root (ou avec sudo).

Création d'une clé

Cette clé permet d'ouvrir un conteneur luks sans avoir à entrer de mot de passe.
On va créer une clé aléatoire à l'aide de la commande suivante :

Code BASH :

dd if=/dev/urandom of=/root/.keyfile_luks bs=1024 count=4

On rend ensuite cette clé illisible pour le commun des mortels :

Code BASH :

chmod 400 /root/.keyfile_luks

Association de la clé au conteneur

On associe ensuite cette clé au conteneur luks :

Code BASH :

cryptsetup luksAddKey /dev/mapper/datavg-sauvegardelv /root/.keyfile_luks

Test de la clé

On peut ensuite tester l'ouverture manuelle du conteneur à l'aide de cette clé :

Code BASH :

cryptsetup --key-file /root/.keyfile_luks luksOpen /dev/mapper/datavg-sauvegardelv cryptsauvegarde

Montage du conteneur

Code BASH :

mount /dev/mapper/cryptsauvegarde /mnt/cryptWD

Tout en une commande

On peut également ouvrir le conteneur et monter le système de fichier en une commande :

cryptsetup --key-file /root/.keyfile_luks luksOpen /dev/mapper/datavg-sauvegardelv cryptsauvegarde && wait && mount /dev/mapper/cryptsauvegarde /mnt/cryptWD

Automatisation

On va maintenant automatiser cette manip. au démarrage du système via fstab et crypttab

A l'instar du fichier fstab qui automatise les montages de partitions, crypttab automatise l'ouverture de conteneurs sécurisés.
On modifie le fichier /etc/crypttab en ajoutant la ligne suivante :

Code BASH :

nom_du_conteneur_ouvert       chemin_vers_le_conteneur        chemin_vers_le_fichier_de_clé

Dans mon cas, pour exemple :

Code BASH :

cryptsauvegarde       /dev/mapper/datavg-sauvegardelv       /root/.keyfile_luks

Ensuite, on modifier le fichier fstab en aoutant la ligne suivante :

Code BASH :

chemin_conteneur_ouvert     point_de_montage       type        options        0        0

Par exemple, dans mon cas :

Code BASH :

/dev/mapper/cryptsauvegarde     /mnt/cryptWD       ext4       defaults       0        0

Vous pouvez rebooter et vérifier que cela fonctionne !

Mémo git

Thu, 24 Nov 2022 10:10:10 +0100

Ici, juste un article me permettant de garder mémoire des commandes utiles (pour moi) sur git. Je n'utilise que peu git et cet outil permet tellement de choses qu'il est parfois complexe de s'y retrouver.

En local

Initier le projet

On se place dans le dossier que l'on veut "giter" :

Code BASH :

 
git init                # initie un dépôt vide et créé les fichiers nécessaires
git add --all           # ajoute tous les fichiers du dossier dans l'index du dépôt 
git commit -m "test"    # enregistre les changements dans le dépôt. L'option -m ajoute un message (explication des modif. par exemple)

Ignorer des fichiers

Il existe différentes méthodes pour ignorer des fichiers. La plus simple et la plus connue reste l'utilisation du fichier .gitignore placé à la racine du dépôt.

On y ajoute ensuite les fichiers/dossiers qu'on veut ignorer. Cela peut être des noms de fichiers, de dossiers, des chemins, on peut utiliser aussi l'étoile.

Si on souhaite supprimer des fichiers qu'on a publié et qu'on ajoute au .gitignore :

Code BASH :

git rm --cached filename

L'option --cached indique à git de ne pas supprimer le fichier de l'arborescence de travail mais seulement de le supprimer de l'index.
Avec un dossier, de manière récursive, on ajoute l'option -r :

Code BASH :

git rm -r --cached directory

On peut faire un check avec l'option -n

Code BASH :

git rm -r -n --cached directory

Gestion des branches

Pour créer une nouvelle branche :

Code BASH :

git branch dev       # créé une branche nommée dev

Pour lister les branches :

Code BASH :

git branch --list

Pour supprimer une branche :

Code BASH :

git branch -d dev       # supprime la branche dev

Pour renommer une branche :

Code BASH :

git branch -m dev tests    # renomme la branche dev en tests

Pour basculer sur une branche :

Code BASH :

git checkout dev

Le remisage (git stash)

Les différentes commandes git stash

Code BASH :

git stash

La commande git stash permet de remiser ("mettre de côté") des développements pour faire une petite modification et la "commiter" avant de reprendre ces développements mais sans les avoir commités. On peut en effet voir avec la commande git status après un git stash qu'il n'y a plus de modification à commiter.

La commande suivante permet de vérifier ce qui est remisé :

Code BASH :

git stash list

Pour être plus précis et commenté ce qu'on a remisé :

Code BASH :

git stash save commentaire même en plusieurs mots sans guillements

Pour avoir des détails sur une remise :

Code BASH :

git stash show stash@{1}             # stash@{1} est le nom du stash visible avec la commande list

Encore plus de détails :

Code BASH :

git stash show stash@{1} -p

Il est possible de faire plusieurs stash

Pour reprendre le travail remisé et l'appliquer au commit courant :

Code BASH :

git stash apply

ou pour spécifier le stash si on en a plusieurs :

Code BASH :

git stash apply stash@{1}

Les modifications remisées le sont toujours après la commande précédente même si elles ont été importées dans le commit courant. Pour les supprimer :

Code BASH :

git stash drop

On peut également tout faire en une commande (apply + drop) avec la commande :

Code BASH :

git stash pop stash@{1}

Par défaut, git stash ne prend pas en compte les nouveaux fichiers. Pour les prendre en compte :

Code BASH :

git stash -u

Exemple de mise en pratique

Prenons un exemple qui m'est arrivé. J'ai une branche main, en prod et publiée sur GitHub, avec un fichier index.html. Pour faire de nouveaux développements, je créé une branche dev. Je fais des développements sans connaitre la fonction git stash :

Je fais des modifications dans index.html
Je créé un fichier style.css
Je créé un fichier background.png

Je voudrais commiter puis publier les modifications d'index.html dans la branche main car j'ai corrigé une erreur mais sans commiter le reste.

C'est parti !

Code BASH :

 
git restore --staged style.css background.png          # à faire seulement si ils sont indexés, on peut le vérifier avec git status
git commit -m "modification d'index.html"              # pour commiter ma modification d'index.html
git add --all                                          # pour indexer mes fichiers avant des les remiser
git stash save nouveaux fichiers                      # pour remiser mes deux nouveaux fichiers avant de changer de branche
git checkout main                                      # pour rebasculer sur la branche main
git merge dev                                         # pour intégrer les modifications d'index.html présentes dans la branche dev dans la branche main
git checkout dev                                       # pour retourner sur la branche dev
git stash apply                                        # pour récupérer mes deux fichiers remisés
git stash drop                                         # pour supprimer mon stash
git add --all                                          # pour réindexer ces fichiers

La commande git log

La commande git-log permet de voir l'historique des commit.
La plus courante, renvoit une liste de commits, avec leurs identifiants :

Code BASH :

git log --oneline

Quelques options complémentaires utiles :

--name-status liste les fichiers créés, modifiés ou supprimés pour chaque commit
-n 2 ou -2 ou --max-count=2 limite le nombre de commits affichés à 2
--skip=3 n'affichera pas les 3 derniers commits
--berfore=MM/JJ/AAAA limite aux commits avant la date donnée (attention au format)
--after=MM/JJ/AAAA limite aux commits après la date donnée

La commande git reset

La commande git reset va affecter l'historique en supprimant des commits !

La commande git reset permet de revenir en arrière sur les commits.
Tout d'abord, il faut connaitre l'identifiant du commit voulu (voir ci-dessus la commande git log).

Ensuite la commande de base, va permettre de revenir en arrière en supprimant les commits suivants mais en conservant la modification des fichiers. Les fichiers seront alors en statut non stagé :

Code BASH :

git reset 5fb06a6           # 5fb06a6 est le numéro du commit

Il existe plusieurs modes de fonctionnement de la commande git reset, j'en présente 3 ici :

--mixed [valeur par défaut] se comporte comme décrit ci-dessus.
--soft se comporte comme ci-dessus sauf que les fichiers seront stagged
--hard ne conserve pas la modification des fichiers. Attention !

Dépôt distant

Paramétrer les connexion au dépôt distant

Il est aussi possible de passer directement via CLI sans token mais cela nécessite l'installation de GitHub qui n'est pas dans les dépôts officiels de Debian ou autres distributions. Je trouve les méthodes via token et SSH bien mieux.

Via HTTPS (Via un token)

Pour générer un token, il faut se rendre sur son compte GitHub, cliquer sur son image en haut à droite puis Settings.
Cliquer ensuite tout en bas à gauche sur Developer settings puis Personnal access tokens et Tokens (classic).
Cliquer ensuite sur Generate new token puis Generate new token (classic).

Dans cette fenêtre, on peut paramétrer les accès et la date d'expiration du token. Une fois rempli, cliquer en bas sur Generate token.

La clé est générée et affichée. Elle sert de mot de passe à la place du mot de passe utilisateur dans la commande git push (voir plus bas dans l'article)

Attention à bien copier cette clé car on ne peut la retrouver ensuite

Avec une clé SSH

Pour cela, il est nécessaire :

d'avoir une paire de clé (privée/publique)
de déposer sa clé publique sur son compte github
d'activer ssh-agent sur son poste local

Générer sa paire de clé

Pour cela, plein de tutos existent. Sinon, un petit tour sur mon article Ansible et c'est décrit.

Déposer sa clé sur son compte github

Pour cela, c'est très simple, on se rend sur compte Github, puis on clique sur l'icone en haut à droite puis settings.
On va ensuite à gauche dans le menu SSH and GPG keys avant de cliquer sur le bouton vert "New SSH Key".

On peut ensuite faire un copier/coller du texte contenu dans le fichier de clé publique (fichier.pub).

Attention à ne pas copier le contenu de sa clé privée !

Activer le ssh-agent

Il faut ensuite activer ssh-agent sur le poste local avec la commande suivante :

Code BASH :

$ eval "$(ssh-agent -s)"
> Agent pid 59566

puis ajouter sa clé à l'agent ssh :

Code BASH :

ssh-add ~/.ssh/id_ed25519                 # id_ed25519 est le nom du fichier de clé privée

Si vous avez entrer une passphrase sur la clé (ce qui est fortement recommandé), elle sera demandée ici

On peut ensuite tester la connexion à github avec la commande suivante :

Code BASH :

ssh -T git@github.com

après avoir validé l'empreinte, vous devriez avoir un beau message de confirmation !

Quelques commandes relatives aux dépôts distants

Pour ajouter un dépôt distant (dans lequel on publiera les fichiers) :

Code BASH :

git remote add origin UrlDépôtGit

permet d'ajouter le dépôt distant défini par son url.

Cette URL peut varier en fonction de la méthode de publication :

Via un token, l'url est de la forme https://github.com/username/repository.git
Via SSH, l'url est de la forme git@github.com:username/repository.git

Pour publier les commits d'une nouvelle branche (qu'on a en local mais en distant) :

Code BASH :

git push -u origin main               # origin est le nom du dépôt distant et main le nom de la branche

Pour publier les modifications de toutes les branches :

Code BASH :

git push --all

La commande suivante permet de voir quel dépôt distant est associé au dépôt local :

Code BASH :

git remote -v

Ansible

Sat, 19 Nov 2022 16:25:02 +0100

Ici, je vais noter ce que j'apprend sur Ansible et ce qui me semble pertinent.
Peut-être que si cet article devient trop long, il sera plus tard divisé en plusieurs...

Installation

Selon le site d'Ansible, il existe plusieurs méthodes :

les binaires
les dépôts (apt, dnf...)
pip

J'ai commencé par installé via apt mais l'installation ne m'a pas créé de dossier /etc/ansible.
J'ai donc essayé via la commande pip mais le résultat est identique.

Configuration de ssh

Utilisation de la clé privée

Il est nécessaire de pouvoir accéder en ssh à ses serveurs que l'on veut pouvoir gérer via ansible. Il faut pour cela utiliser la méthode de clé privée/publique. Rien de compliqué, plein de sites en parlent...

Quelques rappels de commandes.

Pour générer les clés :

Code BASH :

ssh-keygen -t ecdsa -b 521

Cette commande permet de générer une clé de type ecdsa avec la longueur maximale.
La page de manuel de ssh-keygen donne des infos sur les différentes types et les longueurs de clé que l'on peut générer en fonction de la méthode choisie.

Il est possible de générer une clé sans phrase de passe mais ce n'est pas le plus sécurisé...

Pour copier la clé sur le serveur distant :

Code BASH :

ssh-copy-id user@ip-serveur-distant -p port-serveur-ssh

Utilisation des noms d'hôte

Afin de simplifier les choses, il est conseiller de bien configurer ssh pour que la connexion soit simplifiée.
Pour cela, créer ou éditer le fichier ~/.ssh/config

Code BASH :

 
Host rpi3
    HostName 192.168.1.51
    Port 7985
    User pi

L'ajout de ce type de bloc dans le fichier permet de spécifier pour un nom d'hôte : l'adresse ip ou le hostname configuré en dns, le port si on n'utilise pas le port 22, le nom d'utilisateur.

Dans le cas contraire, il sera nécessaire de configurer ces paramètres dans ansible via l'inventory.

Ansible en mode "CLI"

On peut utiliser "manuellement" en ligne de commande.

Par exemple:

Code BASH :

ansible transmission -m ping -i hosts.yaml --key-file /home/remi/.ssh/key_asus_fedora

-i permet de spécifier le fichier d'inventaire à utiliser, de base il utilise le fichier /etc/ansible/hosts (où le fichier défini dans ansible.cfg, voir paragraphe dédié)
-m permet d'appeler un module, ici le module ping
transmission est l'hôte sur lequel on exécute la commande, défini dans le fichier d'inventaire
--key-file permet de spécifier la clé privée à utiliser (cf. les notions après)
-u permet de préciser l'utilisateur distant
-b permet de passer les commandes avec une élévation de privilèges (par défaut avec sudo. Pour modifier, on peut utiliser le paramètre --become-method=su pour utiliser su plutôt que sudo)
-k permet de demander le mot de passe de l'utilisateur (si on n'utilise pas la clé privée)
-K permet de demander le mot de passe lié à l'élévation de privilège
-C permet de tester la commande sans faire les actions
-D permet de retourner les modifications effectuées

Quelques notions à avoir en tête

Lorsqu'on exécute ansible, la connexion se fait avec l'utilisateur courant donc si la clé privée sur le serveur distant est celle de remi, lancer une commande ansible avec root ne fonctionne pas... Il faut alors spécifier manuellement la clé (avec l'option --key-file de la commande ansible

ansible.cfg

Localisation du fichier

ansible.cfg est le fichier de configuration d'ansible.

Si celui-ci n'est pas présent dans /etc/Ansible/, il est possible de le générer via la commande :

Code BASH :

ansible-config init --disabled > ansible.cfg

Cette commande n'est valable que depuis ansible 2.12. Pour les versions antérieures, on peut aller chercher des exemples de fichier ansible.cfg sur le github du projet. Par exemple pour la version 2.10 : Github de la version 2.10

Ce fichier gérera tout Ansible mais il est aussi possible de faire des fichiers plus spécifiques dans le dossier home (.Ansible/ansible.cfg) qui ne s'appliquera qu'à un utilisateur donné ou dans le dossier d'un playbook pour qu'il ne s'applique qu'à ce playbook.

On peut dans ce fichier modifier la localisation du fichier hosts mais ce n'est pas conseillé (voir ci-après)

Pour voir le fichier de configuration pris en compte, on peut utiliser la commande suivante :

Code BASH :

ansible-config --view

Quelques paramètres intéressants

Voici quelques paramètres intéressants à modifier dans ansible.cfg :

S'affranchir de la validation du fingerprint lors de la première connexion :

Code BASH :

 
[defaults]
host-key-checking = false

L'inventory

Les inventory vont permettre de lister les serveurs cibles d'Ansible. On peut y spécifier notamment :

Les hôtes (par IP ou pas hostname
Les ports ssh des hôtes
Les idées avec lesquels se connecter aux hôtes

A vérifier : les users et port doivent-ils être défini dans les inventory ou la config ssh suffit-elle

Le fichier inventory sera au format YAML, plus pratique (.yml ou .yaml).

Exemple d'un fichier d'inventory :

Code JSON :

 
all:
  hosts:                      # en dessous, les serveurs directement rattachés à all
    srv1:                     # exemple d'un serveur appelé par son hostname
  children:                   # en dessous, des groupes enfants du groupe all
    debian:                   # exemple d'un groupe nommé debian
       hosts:                 # en dessous la liste des machines du groupe debian
          srv1:               # une machine nommée serv1
          srv[3-6]:           # les machines nommées serv3, serv4, serv5 et serv6
       vars:                  # en dessous les variables qui s'appliquent au groupe debian
          var1: "debian"      # une variable nommée var1 qui vaut "debian"
    ubuntu:                   # un groupe nommé Ubuntu
       hosts:
          srv8:
             vars:            # en dessous des variables qui ne s'appliquent qu'à la machine srv8
                var1: "Ubuntu"
          srv9:
          srv10:
       vars:                  # en dessous des variables qui s'appliquent à l'ensemble du groupe "Ubuntu"
          var1: "linux"

On met ici comme exemple la possibilité de définir des variables dans l'inventory mais ce n'est pas le meilleur endroit où le faire. Il est préférable d'utiliser des dossiers group_vars et host_vars pour cela. On peut ensuite soit créer des fichier avec le nom des groupes soit des dossiers avec le nom des groupes puis un fichier avec les variables à l'intérieur du fichier

Un fichier par groupe avec les variables à l'intérieur :

├── 00_inventory.yml
├── group_vars
│ ├── debian.yml
│ └── ubuntu.yml
└── host_vars
└── srv8.yml

La commande "ansible-inventory"

Cette commande permet d'afficher de différentes manières l'inventory.

Code BASH :

 ansible-inventory -i inventory.yml --list

renverra l'inventaire avec -i le fichier d'inventaire. Voici la forme de restitution :

Code TEXT :

 
{
    "_meta": {
        "hostvars": {
            "srv1": {
                "var1": "debian"
            },
            "srv10": {
                "var1": "linux"
            },
            "srv3": {
                "var1": "debian"
            },
            "srv4": {
                "var1": "debian"
            },
            "srv5": {
                "var1": "debian"
            },
            "srv6": {
                "var1": "debian"
            },
            "srv8": {
                "var1": "Ubuntu"
            },
            "srv9": {
                "var1": "linux"
            }
        }
    },

L'option --yaml permet d'afficher en format yml. Cela revient à afficher le fichier inventory.yml en y ajoutant les variables des group_vars et host_vars.

Code TEXT :

 
all:
  children:
    debian:
      hosts:
        srv1:
          var1: debian
        srv3:
          var1: debian
        srv4:
          var1: debian
        srv5:
          var1: debian
        srv6:
          var1: debian
    ubuntu:
      hosts:
        srv10:
          var1: linux
        srv8:
          var1: Ubuntu
        srv9:
          var1: linux
    ungrouped: {}

L'option --graph à la place de --list change le format de restitution :

Code TEXT :

 
@all:
  |--@debian:
  |  |--srv1
  |  |--srv3
  |  |--srv4
  |  |--srv5
  |  |--srv6
  |--@ubuntu:
  |  |--srv10
  |  |--srv8
  |  |--srv9
  |--@ungrouped:

L'option --vars ajouté à l'option --graph ajoute les variables.

Code TEXT :

 
@all:
  |--@debian:
  |  |--srv1
  |  |  |--{var1 = debian}
  |  |--srv3
  |  |  |--{var1 = debian}
  |  |--srv4
  |  |  |--{var1 = debian}
  |  |--srv5
  |  |  |--{var1 = debian}
  |  |--srv6
  |  |  |--{var1 = debian}
  |  |--{var1 = debian}
  |--@ubuntu:
  |  |--srv10
  |  |  |--{var1 = linux}
  |  |--srv8
  |  |  |--{var1 = Ubuntu}
  |  |--srv9
  |  |  |--{var1 = linux}
  |  |--{var1 = linux}
  |--@ungrouped:

Le playbook

Création d'un playbook

Le playbook s'écrit au format yaml. Il peut se mettre à la racine du dossier ansible ou dans un sous-dossier.
Il permet de faire le lien entre l'inventory et les tâches à réaliser.

Pour y mettre directement des tasks, on peut l'écrire de cette façon :

Code TEXT :

 
- name: "Mise à jour serveurs Debian"
  hosts: serveurs 
  become: yes
  become_method: su
  tasks:
    - name: "Update cache"
      apt:
        update_cache: yes
    - name: "Full-upgrade"
      apt:
        upgrade: full
    - name: "Autoremove & purge"
      apt:
        autoremove: yes
        purge: yes
    - name: "Vérification de la nécessité d'un reboot"
      register: reboot_required_file
      stat:
        path: /var/run/reboot-required
    - name: "Reboot si besoin"
      reboot:
        msg: "Reboot via Ansible"
        connect_timeout: 10
        reboot_timeout: 300
        test_command: uptime
      when:  reboot_required_file.stat.exists

Utilisation du playbook

Pour lancer un playbook, on utilise la commande ansible-playbook.
Par exemple :

Code BASH :

ansible-playbook -i ../00_inventory.yml -K -C upgrade.yml

upgrade.yml est le chemin vers le playbook.

Quelques modules

Lorsqu'on lance un module (avec -m), on lui passe les paramètres avec l'option (-a puis entre " " les paramètres).
Voir ci-dessous quelques exemples.

apt

Le module apt permet de gérer les paquets. Les principaux paramètres sont :

name : le nom du paquet
state : le statut (present, absent, latest,...)

En CLI :

Code BASH :

ansible -i 00_inventory.yml transmission -b -K --become-method=su -m apt -a "name=htop state=present"

Via un playbook :

Code TEXT :

 
- name: "Installation de htop"
  hosts: transmission  
  become: yes  
  become_method: su  
  tasks:
    - name: "Installation"
      apt:                     
        name: htop
        state: present